无线局域网安全隐患与防范措施

无线局域网安全隐患分析及对策

摘要：随着无线网络的不断发展，其安全性正面临着严峻挑战，无线网络的安全已成为十分重要的研究课题．介绍无线局域网的特点，分析其安全隐患，并给出安全对策．经过实践验证，效果较为理想．

关键词：无线局域网；网络安全；对策

近年来，随着我国网络技术的发展与普及，无线网络也呈现出突飞猛进的态势．目前，虽然无线局域网还要依靠有线网络，但无线网产品也逐渐走向成熟，在实际网络应用中发挥其特有的灵活性和便捷性．

1 无线局域网特点

无线局域网是计算机网络技术和无线通信技术相结合的产物，是在有线局域网的基础之上，通过添加无线访问点、无线网桥等硬件设备实现对有线网络扩充．与传统的有线网相比，无线网最大的优势在于不受地理位置的限制，能到特定区域内随时随地上网．具体表现为：(1)移动性

在无线局域网中，无线网卡体积小且携带方便，利用它就可以很方便地组建网络．另外只要在天线信号覆盖区域内，可以使用户随时随地地接人Intemet．而对于有线网络，其限定了用户的使用范围，用户只能在固定的位置接人Intemet．

(2)易节约、易扩展

缺乏灵活性是有线网络的不足点．在建设有线网络的规划中，考虑到以后网络扩展，往往在主干线路实施方面投入了大量的建设投资．而WLAN能够根据需要灵活选择配置方式，能够根据实际需要灵活选择网络覆盖的范围及相关容量．

(3)组建简单

无线网是以空气为介质进行数据传输，因此就省去了有线网烦琐的网络布线与施工等工作．一艘隋况下，组建一个区域的无线网络，只需安装一个或多个无线接人点设备．

2 无线局域网安全隐患

安全一直是网络通信的重要问题，由于无线局域网自身的特点，安全问题就显得更为重要．与有线网络不同，无线网是在开放的环境下以空气为介质进行数据的传输，非法用户可以通过相关网络软件在接入点覆盖范围内轻易获取传输数据，因而信息容易被窃取．由于WLAN开放的传输介质使其很易遭到攻击，其安全隐患表现在以下几个方面：

(1)信息易受窃听

WLAN采用2．4 GHz范围的无线电波进行通信，而且信道是开放的，窃听者只要有带无线网卡的客户机或无线扫描器，就可获取数据或对数据进行分析，获取有用信息，不能有效阻止窃听者的窃听．或者通过软件对无线网卡的标准NIC信息进行修改，也能获得相关有用信息．(2)篡改信息

在WLAN应用过程中，发射功率大的网络节点可以覆盖发射功率小网络节点，这样，窃听者在节点间传送的数据时进行篡改数据，进而产生错误信息．因此，窃听者可以通过增加天线发射功率，使较强的非法节点覆盖较弱的授权节点，在节点间传送的数据时进行篡改数据，使得

授权用户获得错误信息．

在网无线络中，最容易出现信息篡改的位置是网桥设备．网桥设备一般用在两段局域网之间传送数据．由于这两段局域网之间传输的数据都必须通过这个装置，当数据在这两段局域网之间流通时，就可以利用网桥对其进行修改，从而篡改了数据．

(3)拒绝服务攻击DoS

拒绝服务攻击是使用户无法访问网络服务，而不是窃听信息．黑客只需通过设置一个信号发生器，产生足够高的射频干扰信号，使合法业务流就不能到达接人点，客户端的用户不能找到信号源，使得无线网卡不能工作．

另外，黑客可以利用无线局域网的带宽是有限的特点，在带宽上产生大批无用的数据包，网络的资源慢慢地被耗尽，直至无线局域网完全停止工作．

(4)MAC地址欺骗

一个或多个无线网络结点AP可以通过MAC地址来识别一个客户端用户．网络结点AP中有一个MAC地址列表，该地址列表中记录着可以访问本结点AP的客户端网卡MAC地址，不在本结点AP的MAC地址列表中的用户都不能访问该结点AP．但在结点AP覆盖范围内，一般无线设备都可以接收到该结点AP发射的无线网络信号．窃听者就可以通过网络工具软件获取结点AP中的MAC 地址列表，并把自己的网卡MAC地址写入结点AP的地址列表中，使自己客户端成为合法用户，从而自由地窃取网络资源．

(5)WEP加解密的同步问题

WEP即有线等价保密协议，是IEEE 802．1 1标准中用来保护无线传输过程中的链路级数据协议．其主要用处是防止非法用户访问网络，另外对传输的数据进行加密处理，阻止了窃听者窃听信息，也防止了窃听者恶意篡改或者伪造数据．WEP是一种数据流加密算法，该算法最大的不足点是在接收数据时丢失一位，则数据就不能被正确解密．另外，由于网络结点与客户端是共享密钥的，因此窃听者可以通过网络结点来获得密匙．

3 无线局域网安全防范对策

无线局域网安全防范对策须从无线局域网自身特点出发，从无线设备安装配置开始，一直到无线网络应用与管理，都应采取良好的安全对策．

(1)部署VPN

虚拟专用网不是真的专用网络，是依靠ISP在公用网络中建立专用的数据通信网络的技术，在虚拟专用网中，任意两个节点之间的连接都是利用公众网的资源动态构成的．也就是说，虚拟专用网是利用个公共IP网络，采用数据加解密技术、密钥管理、身份认证等技术来确保数据安全传输．

目前，具有代表意义的VPN技术是IPSec VPN，其在网络层中运行，主要是保护站点之间传输数据的安全．而且虚拟专用网还要求远程客户端必须正确地安装和配置客户端的软硬件，将客户端的访问权限限定在某一特定环境，使得无线局域网的安全性大幅度提高．目前较为理想的WLAN安全防范对策是将VPN安全技术与其他无线安全技术结合起来．

(2)网络入侵检测

网络入侵检测就是通过对网络系统数据的分析，判断非授权的网络访问和攻击行为，然后采取报警、切断入侵线路等防范措施．其一般是先进行信息收集，对收集到的信息进行处理和分类，根据一定的安全策略来判断入侵行为的发生并采取相应的对策．随着网络体系结构的大型化，网络入侵行为不再是单一的行为，而是表现出相互协作入侵的特点．管理员可以采取基于代理的分布式入侵监测技术，将入侵检测系统的服务器接人中心交换机上，并将其余的代理分布于各区域的子网中，主机代理设置在需要保护的客户端上．人侵检测系统既能进行入侵检测，